Privacy-Handbuch: Internettelefonie (VoIP)
Dieser Abschnitt ist noch im Entstehen und noch nicht offizieller Bestandteil des Buchs. Gib den Autoren Zeit, den Inhalt anzupassen!
Der bekannteste Anbieter für Internettelefonie (Voice over IP, VoIP) ist zweifellos Skype. Die Installation und das Anlegen eines Account ist einfach. Man benötigt lediglich eine E-Mail Adresse. Skype-Verbindungen sind schwer zu blockieren. Die Client-Software findet fast immer eine Verbindung zum Netz, auch hinter restriktiven Firewalls. Skype bietet eine Verschlüsselung und kann Verbindungen ins Festnetz und in Handynetze herstellen.
Abhörschnittstellen
BearbeitenAnfang der 90er Jehre des letzten Jahrhunderts wurde das Festnetz in den westlichen Industriestaaten digitalisiert und die GSM-Verschlüsselung für Handytelefonate wurde eingeführt. Klassische Abhörmaßnahmen für einen Telefonanschluss waren ohne Kooperation der Telekommuniationsanbieter und ohne vorbereitete Schnittstellen nicht mehr möglich.
Als Antwort auf diese Entwicklung wurden in allen westlichen Industriestaaten Gesetze beschlossen, die die Telekommunikationsanbieter zur Kooperation mit den Strafverfolgungsbehörden und Geheimdiensten verpflichten und Abhörschnittstellen zwingend vorschreiben. In den USA war es der CALEA Act [1] von 1994. In Deutschland wurde 1995 auf Initiative des Verfassungsschutz die Fernmeldeverkehr-Überwachungsverordnung (FÜV) [2] beschlossen, die 2002 durch die Telekommunikations-Überwachungsverordnung (TKÜV) [3] ersetzt wurde.
2005 wurde der CALEA Act durch das höchste US-Gericht so interpretiert, dass er auch für alle VoIP-Anbieter gilt, die Verbindungen in Telefonnetze weiterleiten können. Skype zierte sich anfangs, die geforderten Abhörschnittstellen zu implementieren. Mit der Übernahme von Skype durch Ebay im Nov. 2005 wurde die Diskussion beendet. Heute bietet Skype Abhörschnittstellen in allen westeuropäischen Ländern und zunehmend auch in anderen Ländern wie Indien. In Deutschland sind Abhörprotokolle aus Skype Gesprächen alltägliches Beweismaterial.[4]
Skype und andere VoIP-Anbieter, die Verbindungen in andere Telefonnetze herstellen können, sind in gleicher Weise abhörbar, wie Telefon oder Handy. Es ist albern, Skype als Spionagesoftware zu verdammen und gleichzeitig den ganzen Tag mit einem Smartphone rumzulaufen. Genauso ist eine Lüge, wenn man die Verbreitung von Skype als Grund für einen Staatstrojaner nennt.
Open Secure Telephony Network (OSTN)
BearbeitenDas Open Secure Telephony Network (OSTN) [5] wird vom Guardian Project entwickelt. Es bietet sichere Internettelefonie mit starker Ende-zu-Ende-Verschlüsselung, soll als Standard für Peer-2-Peer Telefonie ausgebaut werden und eine ähnlich einfache Nutzung wie Skype bieten.
Eine zentrale Rolle spielt das SRTP/ZRTP-Protokoll [6] von Phil Zimmermann, dem Erfinder von OpenPGP. Es gewährleistet eine sichere Ende-zu-Ende-Verschlüsselung der Sprachkommunikation. Wenn beide Kommunikationspartner eine Software verwenden, die das ZRPT-Protokoll beherrscht, wird die Verschlüsselung automatisch ausgehandelt. Daneben werden weitere etablierte Krypto-Protokolle genutzt.
Kurze Erläuterung der Begriffe:
- SRTP
- definiert die Verschlüsselung des Sprachkanals. Die Verschlüsselung der Daten erfolgt symmetrische mit AES128/256 oder Twofish128/256. Für die Verschlüsselung wird ein gemeinsamer Schlüssel benötigt, der zuerst via ZRTP ausgehandelt wird.
- ZRTP
- erledigt den Schlüsselaustausch für SRTP und nutzt dafür das Diffie-Helman Verfahren. Wenn beide VoIP-Clients ZRTP beherrschen, wird beim Aufbau der Verbindung ein Schlüssel für SRTP automatisch ausgehandelt und verwendet. Der Vorgang ist transparent und erfordert keine Aktionen der Nutzer. Allerdings könnte sich ein Man-in-the-Middle einschleichen, und die Verbindung kompromittieren (Belauschen).
- SAS
- dient dem Schutz gegen Man-in-the-Middle Angriffe auf ZRTP. Den beiden Kommunikationspartnern wird eine 4-stellige Zeichenfolge angezeigt, die über den Sprachkanal zu verifizieren ist. Üblicherweise nennt der Anrufer die ersten beiden Buchstaben und der Angerufenen die beiden letzten Buchstaben. Wenn die Zeichenfolge identisch ist, kann man davon ausgehen, dass kein Man-in-the-Middle das Gespräch belauschen kann.
Damit bleibt als einziger Angriff auf die Kommunikation der Einsatz eines Trojaners, der das Gespräch vor der Verschlüsselung bzw. nach der Entschlüsselung abgreift. Dagegen kann man sich mit einer Live-CD schützen. Die JonDo-Live-CD enthält z.B. den VoIP-Client Jitsi.
OSTN-Provider
BearbeitenUm diese sichere Variante der Internettelefonie zu nutzen, benötigt man einen Account bei einem OSTN-kompatiblen Provider. Derzeit gibt es 3 Anbieter: Tanstagi[7], PillowTalk[8] und Ostel.co[9], wobei Ostel.me der Test- und Entwicklungsserver des Projektes ist. Die Serversoftware OSTel ist Open Source, man kann auch seinen eigenen Server betreiben. Weitere Anbieter werden folgen.
Am einfachsten kann man einen anonymen Account bei PillowTalk erstellen. Es werden keine Daten erfragt (auch keine E-Mail Adresse). Der Server speichert keine Daten. Wenn er einmal down geht sind sämtliche Accounts weg und müssen neu erstellt werden.
Die SRTP/ZRTP-Verschlüsselung ist ausschließlich von den Fähigkeiten der VoIP-Clients abhängig. Sie kann nicht nur mit den OSTN-Providern genutzt werden sondern auch mit Accounts bei anderen SIP-Providern wie z.B. Ekiga.net oder iptel.org. Allerdings vereinfacht OSTN die Konfiguration der Accounts im VoIP-Client.
VoIP-Clients mit OSTN-Support
BearbeitenEs gibt einige VoIP-Clients, die bereits die nötigen Voraussetzungen zur Nutzung von OSTN implementiert haben.
- Für den Desktop empfehle ich Jitsi [10], einen Java-basierter VoIP- und IM-Client für viele Betriebssysteme.
- Für Linux (Ubuntu, SUSE und Redhat) gibt es das SFLphone [11].
- Für Android-Smartphones ist CSipSimple [12] am besten geeignet, das ebenfalls vom Guardian Project entwickelt wird. (OSTN-Support in den Nightly Builds der Beta Version.)
- iPhone Nutzer können Groundwire [13] für $9,99 im App Store kaufen.
Jitsi
BearbeitenJitsi ist einen Java-basierter VoIP- und Instant Messaging Client für viele Betriebssysteme. Er unterstützt die SRTP/ZRTP-Verschlüsselung und das OSTN-Protokoll. Für die Instaaltion benötigt man zuerst ein Java Runtime Environment (JRE).
- Für Windows findet man ein Installationsprogramm auf www.java.com.
- Unter Linux installiert man das Paket default-jre mit dem bevorzugten Paketmanager der Distribution.
Hinweis: zusammen mit der JRE wird auch ein Java-Plugin für die Browser installiert. Dieses Plugin ist ein Sicherheitsrisiko! Es ist nach der Installation von Java im Browser zu deaktivieren. Im Firefox kann man das in der Plugin-Verwaltung unter Extras - Add-ons erledigen.
Anschließend installiert man Jitsi, indem man das zum Betriebssystem passende Paket von der Downloadseite herunter lädt und als Administrator bzw. root installiert - fertig.
Hat man einen Account bei einem OSTN-Provider, dann muss man lediglich beim Start von Jitsi die Login Daten für den SIP-Account (Username und Passwort) eingeben, wie im Bild [abb:jitsi1] dargestellt. Alle weiteren Einstellungen werden automatisch vorgenommen.
[tb]
[[Image:../screenshots/jitsi_start.png|image]] [abb:jitsi1]
Wenn man einen Account beim SIP-Provider iptel.org hat, ist die Konfiguration ähnlich einfach. Man schließt den Sign in Dialog, wählt den Menüpunkt File - Add new account und in dem sich öffnenden Dialog als Netzwerk iptel.org. Jitsi enthält vorbereitete Einstellungen für diesen SIP-Provider.
SAS Authentication
BearbeitenBei einem verschlüsselten Gespräch wird beiden Teilnehmern eine Zeichenkette aus vier Buchstaben und Zahlen angezeigt. Diese Zeichenkette ist über den Sprachkanal mit dem Gegenüber zu verifizieren. Dabei nennt der Anrufer üblicherweise die ersten zwei Buchstaben und der Angerufene die letzten beiden Buchstaben bzw. Zahlen. Wenn beide Teilnehmer die gleiche Zeichenkette sehen, ist die Verbindung sicher verschlüsselt und unbeobachtet.
[tb]
[[Image:../screenshots/jitsi-verify.png|image]] [abb:jitsi2]
Anpassung der Konfiguration
BearbeitenStandardmäßig sind bei Jitsi viele Protokollierungen aktiv. In den den Einstellungen kann man diese Logfunktionen abschalten, um überflüssige Daten auf der Festplatte zu vermeiden.
Wer durch die Gerüchte über die Fortschritte der NSA beim Knacken von AES128 etwas verunsichert ist, kann in den Einstellungen des ZRTP Ninja die Verschlüsselung mit Twofish bevorzugen. Allerdings müssen beide Gesprächspartner diese Anpassung vornehmen.
Quellen
Bearbeiten- ↑ https://secure.wikimedia.org/wikipedia/en/wiki/Calea
- ↑ http://www.online-recht.de/vorges.html?FUEV
- ↑ https://de.wikipedia.org/wiki/Telekommunikations-%C3%9Cberwachungsverordnung
- ↑ http://www.lawblog.de/index.php/archives/2010/08/17/skype-staat-hort-mit
- ↑ https://guardianproject.info/wiki/OSTN
- ↑ https://tools.ietf.org/html/draft-zimmermann-avt-zrtp-22
- ↑ https://tanstagi.net
- ↑ https://intimi.ca:4242
- ↑ https://ostel.co
- ↑ https://jitsi.org
- ↑ http://sflphone.org
- ↑ http://nightlies.csipsimple.com
- ↑ https://itunes.apple.com/us/app/groundwire-business-caliber/id378503081?mt=8